Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for WordPress

WordPress

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

by

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Blocked attacks (Wordfence)

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com

Hacker Mengeksploitasi Kerentanan WordPress Dalam Beberapa Jam Setelah Rilis Eksploit PoC

by

Eksploitasi kerentanan mengarah ke serangan cross-site scripting (XSS) di mana pelaku ancaman dapat menyuntikkan skrip berbahaya, pengalihan, iklan, dan bentuk manipulasi URL lainnya ke situs korban. Ini dapat mendorong skrip tidak sah ke pengunjung situs yang terpengaruh tersebut.

Menurut blog Akamai, pelaku ancaman telah mulai mengeksploitasi kerentanan yang baru-baru ini diungkapkan di WordPress, dalam waktu 24 jam setelah eksploitasi proof-of-concept (PoC) diterbitkan oleh perusahaan.

Kerentanan tingkat tinggi CVE-2023-30777 diidentifikasi oleh peneliti Patchstack pada 2 Mei, memungkinkan pengguna yang tidak diautentikasi mencuri informasi sensitif.

Dalam hal ini, eskalasi hak istimewa di situs WordPress dengan mengelabui pengguna yang memiliki hak istimewa untuk mengunjungi jalur URL yang dibuat. Kerentanan yang dijelaskan telah diperbaiki di versi 6.1.6, juga diperbaiki di versi 5.12.6, ”kata Patchstack dalam laporan terperinci pada 5 Mei yang menyertakan contoh muatan.

Peneliti keamanan di Akamai telah menemukan bahwa telah terjadi upaya serangan yang signifikan dalam waktu 48 jam setelah kode sampel diposting. Pelaku ancaman telah menggunakan sampel untuk memindai situs web rentan yang belum menerapkan tambalan atau mengupgrade ke versi terbaru.

Pengamatan menyoroti bahwa waktu respons untuk penyerang menurun dengan cepat, meningkatkan kebutuhan akan manajemen tambalan yang kuat dan cepat.

Dalam aktivitas yang dipantau oleh Akamai, aktor ancaman menyalin dan menggunakan kode sampel Patchstack dari artikel tersebut. Kegiatan ini dilakukan di semua vertikal.

Pelaku ancaman yang disponsori negara juga menggunakan kerentanan yang diketahui untuk mendapatkan akses awal ke organisasi pemerintah dan mengganggu infrastruktur penting, kata Tenable.

Firma keamanan tersebut menyarankan bahwa organisasi harus fokus pada langkah-langkah keamanan siber preventif daripada langkah-langkah keamanan siber pasca-acara reaktif untuk memitigasi risiko. Pembaruan dan tambalan rutin harus diterapkan.

Selengkapnya: arsTechnica

Lebih dari 1 Juta Situs WordPress Terinfeksi oleh Kampanye Malware Balada Injector

by

Kampanye besar-besaran, per GoDaddy’s Sucuri, ‘memanfaatkan semua kerentanan tema dan plugin yang diketahui dan baru ditemukan’ untuk menembus situs WordPress. Serangan tersebut diketahui terjadi secara bergelombang setiap beberapa minggu sekali.

Peneliti keamanan, Denis Sinegubko.h, mengatakan bahwa kampanye tersebut mudah diidentifikasi dengan preferensinya untuk kebingungan String.fromCharCode, penggunaan nama domain yang baru terdaftar yang menghosting skrip berbahaya di subdomain acak, dan dengan mengalihkan ke berbagai situs scam.

Situs web tersebut menyertakan dukungan teknis palsu, kemenangan lotre penipuan, dan laman CAPTCHA nakal yang mendesak pengguna untuk mengaktifkan pemberitahuan perizinan untuk memverifikasi bahwa Anda bukan robot, sehingga memungkinkan pelaku mengirimkan iklan spam.

Pada tahun-tahun sementara, Balada Injector telah mengandalkan lebih dari 100 domain dan sejumlah besar metode untuk memanfaatkan kelemahan yang diketahui dengan penyerang terutama berusaha mendapatkan kredensial basis data di wp-config. file php.

Serangan juga direkayasa untuk membaca atau mengunduh file situs arbitrer serta mencari alat seperti adminer dan phpmyadmin yang mungkin ditinggalkan oleh administrator situs setelah menyelesaikan tugas pemeliharaan.

Pada akhirnya malware memungkinkan pembuatan pengguna admin WordPress palsu, memanen data yang disimpan di host yang mendasarinya, dan meninggalkan backdoor untuk akses terus-menerus.

Balada Injector selanjutnya melakukan pencarian luas dari direktori tingkat atas yang terkait dengan sistem file situs web yang disusupi untuk menemukan direktori yang dapat ditulis milik situs lain.

Jika jalur serangan tidak tersedia, kata sandi admin dipaksa menggunakan 74 kredensial yang telah ditentukan sebelumnya. Sehingga pengguna WordPress disarankan untuk rutin memperbarui perangkat lunak situs web mereka, menghapus plugin dan tema yang tidak digunakan, dan menggunakan kata sandi admin WordPress yang kuat.

Selengkapnya: The Hacker News

Kampanye Penipuan AdSense Besar-besaran Terungkap, 10.000+ Situs WordPress Terinfeksi

by

Pelaku ancaman di balik kampanye malware pengalihan black hat telah meningkatkan kampanye mereka untuk menggunakan lebih dari 70 domain palsu yang meniru shorter URL dan menginfeksi lebih dari 10.800 situs web.

Menurut peneliti Sucuri Ben Martin, tujuan utamanya berupa penipuan iklan dengan meningkatkan lalu lintas secara artifisial ke halaman yang berisi ID AdSense yang berisi iklan Google untuk menghasilkan pendapatan.

Detail aktivitas jahat tersebut pertama kali diungkapkan oleh perusahaan milik GoDaddy pada November 2022.

Kampanye diatur untuk mengarahkan pengunjung ke situs WordPress yang disusupi ke portal Q&A palsu. Tampaknya ini bertujuan untuk meningkatkan otoritas situs berisi spam dalam hasil mesin telusur.

Penggunaan tautan hasil pencarian Bing dan layanan pemendek tautan (t[.]co) Twitter, bersama dengan Google, dalam pengalihan mereka yang menunjukkan perluasan jejak pelaku ancaman membuat kampanye terbaru ini signifikan.

Juga digunakan adalah domain URL pseudo-pendek yang menyamar sebagai alat pemendekan URL populer seperti Bitly, Cuttly, atau ShortURL tetapi pada kenyataannya mengarahkan pengunjung ke situs Q&A yang samar.

Menurut Martin, pengalihan yang tidak diinginkan melalui URL pendek palsu ke situs Q&A palsu mengakibatkan peningkatan tampilan/klik iklan dan karenanya meningkatkan pendapatan bagi siapa pun yang berada di balik kampanye ini. Ini adalah salah satu kampanye penipuan pendapatan iklan terorganisir yang sangat besar dan berkelanjutan.

Belum diketahui persis bagaimana situs WordPress terinfeksi. Tapi begitu situs web dilanggar, aktor ancaman menyuntikkan kode PHP backdoor yang memungkinkan akses jarak jauh yang terus-menerus serta mengarahkan pengunjung situs.

Selengkapnya: The Hacker News

Kampanye Masif Menggunakan Situs WordPress yang Diretas sebagai Platform untuk Jaringan Iklan Black Hat

by

Seringkali penyerang mendaftarkan domain baru untuk menghosting malware mereka. Dalam banyak kasus, domain baru dikaitkan dengan kampanye malware tertentu.

Dalam postingan blognya, penulis bersama rekannya Ben Martin, akan meninjau bagaimana perilaku wave terbaru untuk domain violetlovelines, bagaimana kampanye telah berkembang dalam beberapa bulan terakhir, dan cara menghapus malware dari situs web korban.

Jenis Suntikan
Pada situs web yang terinfeksi, ditemukan dua jenis injeksi violetlovelines[.]com yang umum yaitu injeksi tag skrip sederhana (subdomain dan nama file dapat bervariasi) dan dan injeksi yang disamarkan (JavaScript) yang memanfaatkan fungsi fromCharCode.

Rantai Pengalihan dan Jaringan Iklan
Beberapa bulan terakhir, kampanye malware ini secara bertahap beralih dari halaman penipuan pemberitahuan push CAPTCHA palsu yang terkenal ke jaringan iklan ’black hat’ yang berganti-ganti antara pengalihan ke sah, samar, dan murni berbahaya situs web.

Berbagai level untuk injeksi skrip, TDS (Sistem Pengarahan Lalu Lintas), rantai pengalihan dan jaringan iklan, diantaranya yaitu tingkat pertama – skrip yang disuntikkan, tingkat kedua – TDS pendahuluan, tingkat ketiga – jaringan iklan/TDS.

TDS berfungsi sebagai Jaringan Iklan untuk situs WordPress yang terinfeksi
TDS tampaknya menggabungkan penawaran dari berbagai aktor jahat dan mitra iklan yang lebih sah dan menggunakan situs WordPress yang diretas sebagai inventaris untuk penempatan/pengalihan iklan.

Pemasaran samar, pembaruan browser palsu, penipuan dukungan teknis, unduhan drive-by berbahaya dari Discord, malware pencuri, dan penjelajahan aman Google, merupakan upaya-upaya masif dari penyerang untuk melancarkan aksinya.

Langkah-langkah Perbaikan dan Pembersihan
Pemilik situs web WordPress dan pengguna melaporkan bahwa situs web dialihkan melalui violetlovelines[.]com dan/atau ke lokasi tak terduga lainnya, maka pengguna dapat memindainya melalui malware SiteCheck dan pemeriksa keamanan.

Langkah untuk perbaikan dan pembersihan yang dapat dilakukan adalah menghapus malware yang disuntikkan, perbarui tema, plugin, dan perangkat lunak pihak ketiga, mengubah kata sandi situs web, dan hapus backdoors

Selengkapnya: SUCURI

Lebih dari 4.500 Situs WordPress Diretas untuk Mengarahkan Pengunjung ke Halaman Iklan yang Samar

by

Menurut Sucuri milik GoDaddy, infeksi tersebut melibatkan injeksi JavaScript yang dikaburkan yang dihosting di domain jahat bernama “track[.]violetlovelines[.]com” yang dirancang untuk mengarahkan pengunjung ke situs yang tidak diinginkan.

Kode nakal dimasukkan ke dalam file WordPress index.php, dengan Sucuri mencatat bahwa itu telah menghapus perubahan tersebut dari lebih dari 33.000 file di situs yang disusupi dalam 60 hari terakhir.

Kampanye malware ini secara bertahap beralih dari halaman scam pemberitahuan push CAPTCHA palsu terkenal ke ‘jaringan iklan’ topi hitam yang berganti-ganti antara pengalihan ke situs web yang sah, samar, dan murni berbahaya.

Google sejak itu masuk untuk memblokir salah satu domain jahat yang terlibat dalam skema pengalihan, mengklasifikasikannya sebagai situs tidak aman yang memasang “perangkat lunak yang tidak diinginkan atau berbahaya di komputer pengunjung”.

Untuk mengurangi ancaman tersebut, pemilik situs WordPress disarankan untuk mengubah kata sandi dan memperbarui tema dan plugin yang diinstal serta menghapus yang tidak digunakan atau ditinggalkan oleh pengembangnya.

Selengkapnya : thehackernews

Peringatan Keamanan WordPress: Malware Linux Baru Mengeksploitasi Lebih dari Dua Lusin Kelemahan CMS

by

Situs WordPress menjadi sasaran malware Linux yang sebelumnya tidak dikenal yang mengeksploitasi kelemahan di lebih dari dua lusin plugin dan tema untuk mengkompromikan sistem yang rentan.

Menurut vendor keamanan Rusia, Doctor Web, penggunaan situs versi lama dari add-on tanpa perbaikan penting, dapat menjadi target yang akan disuntikkan JavaScript berbahaya. Pengguna yang mengklik area mana pun dari halaman yang diserang, dialihkan ke situs lain.

Serangan melibatkan mempersenjatai daftar kerentanan keamanan yang diketahui di 19 plugin dan tema berbeda, kemungkinan dipasang di situs WordPress, digunakan untuk menyebarkan implan yang dapat menargetkan situs web tertentu untuk memperluas jaringan lebih lanjut.

Doctor Web telah mengidentifikasi versi kedua dari backdoor, yang menggunakan domain command-and-control (C2) baru serta daftar kelemahan yang diperbarui yang mencakup 11 plugin tambahan, sehingga totalnya menjadi 30.

Bulan lalu, Sucuri mencatat bahwa lebih dari 15.000 situs WordPress telah dilanggar sebagai bagian dari kampanye berbahaya untuk mengarahkan pengunjung ke portal Q&A palsu, dengan jumlah infeksi aktif saat ini mencapai 9.314.

Pengguna WordPress disarankan untuk selalu memperbarui semua komponen platform, termasuk add-on dan tema pihak ketiga, dan menggunakan login dan kata sandi yang kuat dan unik untuk mengamankan akun mereka.

Selengkapnya: The Hacker News

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer